《中華人民共和國(guó)個(gè)人信息保護(hù)法》

宣貫講解輔導(dǎo)授課提綱

2021年11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱“個(gè)人信息保護(hù)法”）正式實(shí)施。這是我國(guó)第一部個(gè)人信息保護(hù)方面的專門法律，與民法典、網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、電子商務(wù)法、消費(fèi)者權(quán)益保護(hù)法等法律共同編織成一張個(gè)人信息的“保護(hù)網(wǎng)”。個(gè)人信息保護(hù)法堅(jiān)持和貫徹以人民為中心的法治理念，在確立個(gè)人信息保護(hù)原則、禁止“大數(shù)據(jù)殺熟”、嚴(yán)格保護(hù)敏感個(gè)人信息、賦予大型網(wǎng)絡(luò)平臺(tái)特別義務(wù)、規(guī)范個(gè)人信息跨境流通、健全個(gè)人信息保護(hù)工作機(jī)制等方面，明確了個(gè)人信息保護(hù)的相關(guān)規(guī)則和各相關(guān)方的權(quán)利義務(wù)，全方位構(gòu)筑了個(gè)人信息保護(hù)網(wǎng)。

一、如何理解《個(gè)人信息保護(hù)法》頒布實(shí)施的深遠(yuǎn)意義？

為了充分理解個(gè)人信息保護(hù)法的內(nèi)涵，我們不妨從世界維度與中國(guó)維度著眼，以展現(xiàn)其深遠(yuǎn)意義。

順應(yīng)世界潮流

個(gè)人信息保護(hù)的立法可追溯至德國(guó)黑森州1970年《資料保護(hù)法》。此后，瑞士（1973）、法國(guó)（1978）、挪威（1978）、芬蘭（1978）、冰島（1978）、奧地利（1978）、冰島（1981）、愛爾蘭（1988）、葡萄牙（1991）、比利時(shí)（1992）等國(guó)的個(gè)人信息保護(hù)法亦景從云集。在大西洋彼岸，1973年美國(guó)發(fā)布“公平信息實(shí)踐準(zhǔn)則”報(bào)告，確立了處理個(gè)人信息處理的五項(xiàng)原則：（1）禁止所有秘密的個(gè)人信息檔案保存系統(tǒng)；（2）確保個(gè)人了解其被收集的檔案信息是什么，以及信息如何被使用；（3）確保個(gè)人能夠阻止未經(jīng)同意而將其信息用于個(gè)人授權(quán)使用之外的目的，或者將其信息提供給他人，用作個(gè)人授權(quán)之外的目的；（4）確保個(gè)人能夠改正或修改關(guān)于個(gè)人可識(shí)別信息的檔案；（5）確保任何組織在計(jì)劃使用信息檔案中的個(gè)人信息都必須是可靠的，并且必須采取預(yù)防措施防止濫用。在“公平信息實(shí)踐準(zhǔn)則”所奠定的個(gè)人信息保護(hù)基本框架之上，美國(guó)《消費(fèi)者網(wǎng)上隱私法》《兒童網(wǎng)上隱私保護(hù)法》《電子通訊隱私法案》《金融服務(wù)現(xiàn)代化法》（GLB）《健康保險(xiǎn)流通與責(zé)任法》（HIPAA）《公平信用報(bào)告法》相繼出臺(tái)。

進(jìn)入21世紀(jì)，在數(shù)字化浪潮的推動(dòng)下，個(gè)人信息保護(hù)的立法陡然加速。2000到2010年，共有40個(gè)國(guó)家頒布了個(gè)人信息保護(hù)法，是前10年的兩倍，而2010年到2019年，又新增了62部個(gè)人信息保護(hù)法，比以往任何10年都要多。延續(xù)這一趨勢(shì)，截至2029年將會(huì)有超過(guò)200個(gè)國(guó)家或地區(qū)擁有個(gè)人信息保護(hù)法。

我國(guó)個(gè)人信息保護(hù)法正是此歷史進(jìn)程中的重要一環(huán)?；仡欉^(guò)往，世界個(gè)人信息保護(hù)法迄今已經(jīng)歷了三代。第一代以經(jīng)合組織1980年《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指引》和1981年歐洲理事會(huì)《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》為起點(diǎn)。第二代以歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》為代表，其在第一代原則的基礎(chǔ)上加入了包括“數(shù)據(jù)最少夠用”“刪除”“敏感信息”“獨(dú)立的個(gè)人信息保護(hù)機(jī)構(gòu)”等要素。第三代即為2018年生效的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）。與第二代相比，GDPR大大拓展了信息主體權(quán)利，并確立了一系列新的保護(hù)制度。我國(guó)個(gè)人信息保護(hù)法采取“拿來(lái)主義、兼容并包”的方法，會(huì)通各國(guó)立法，借鑒世界第三代個(gè)人信息保護(hù)法的先進(jìn)制度，鑄就熨帖我國(guó)國(guó)情的規(guī)則設(shè)計(jì)。這主要體現(xiàn)在：

其一，在體例結(jié)構(gòu)上，將私營(yíng)部門處理個(gè)人信息和國(guó)家機(jī)關(guān)處理個(gè)人信息一體規(guī)制，除明確例外規(guī)則外，確保遵循個(gè)人信息保護(hù)的同一標(biāo)準(zhǔn)?；诖?，個(gè)人信息保護(hù)法兩線作戰(zhàn)，即直面企業(yè)超采、濫用用戶個(gè)人信息的痼疾，又防范行政部門違法違規(guī)處理個(gè)人信息的問(wèn)題，最大限度地保護(hù)個(gè)人信息權(quán)益。其二，在管轄范圍上，個(gè)人信息保護(hù)法統(tǒng)籌境內(nèi)和境外，賦予必要的域外適用效力，以充分保護(hù)我國(guó)境內(nèi)個(gè)人的權(quán)益。其三，在“個(gè)人信息”認(rèn)定上，采取“關(guān)聯(lián)說(shuō)”，將“與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息”均囊括在內(nèi)。其四，在個(gè)人信息權(quán)益上，不僅賦予個(gè)人查詢權(quán)、更正權(quán)、刪除權(quán)、自動(dòng)化決策的解釋權(quán)和拒絕權(quán)以及有條件的可攜帶權(quán)等“具體權(quán)利”，而且從中升華為“個(gè)人對(duì)其個(gè)人信息處理的知情權(quán)、決定權(quán)，限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理”的“抽象權(quán)利”，由此形成法定性和開放性兼?zhèn)涞膫€(gè)人信息權(quán)益體系。其五，在個(gè)人信息跨境上，采取安全評(píng)估、保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同等多元化的出境條件。其六，在大型平臺(tái)監(jiān)管上，對(duì)“重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者”苛以“看門人”義務(wù)，完善個(gè)人信息治理。

貢獻(xiàn)中國(guó)智慧

我國(guó)個(gè)人信息保護(hù)法決不只是回應(yīng)世界潮流之舉，事實(shí)上，它也是我國(guó)法律體系自我完善、自我發(fā)展的必然結(jié)果。從2018年9月個(gè)人信息保護(hù)法被納入“十三屆全國(guó)人大常委會(huì)立法規(guī)劃”，位列“條件比較成熟、任期內(nèi)擬提請(qǐng)審議”的69部法律草案之中，到如今個(gè)人信息保護(hù)法正式頒行，看起來(lái)不過(guò)歷時(shí)三載，但追根溯源，距離2012年《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》已有10年，距離2003年國(guó)務(wù)院信息化辦公室部署個(gè)人信息保護(hù)法立法研究工作已有18年。在近20年的進(jìn)程中，我國(guó)個(gè)人信息保護(hù)規(guī)范日漸豐茂，網(wǎng)絡(luò)安全法、新修訂的消費(fèi)者權(quán)益保護(hù)法、電子商務(wù)法、刑法修正案九、民法典等對(duì)個(gè)人信息保護(hù)作出了相應(yīng)規(guī)定，及時(shí)回應(yīng)了國(guó)家、社會(huì)、個(gè)人對(duì)個(gè)人信息保護(hù)的關(guān)切。然而，這種分散式的立法，也面臨著體系性和操作性欠缺、權(quán)利救濟(jì)和監(jiān)管措施不足的困境，正因如此，一部統(tǒng)一的個(gè)人信息保護(hù)法正當(dāng)其時(shí)。

任何法律都是特定時(shí)空下社會(huì)生活和國(guó)家秩序的規(guī)則，個(gè)人信息保護(hù)法概莫能外。我國(guó)個(gè)人信息保護(hù)法以現(xiàn)實(shí)問(wèn)題為導(dǎo)向，以法律體系為根基，統(tǒng)籌既有法律法規(guī)，體察民眾訴求和時(shí)代需求，將之挖掘、提煉、表達(dá)為具體可感、周密詳實(shí)的法律規(guī)則，以維護(hù)網(wǎng)絡(luò)良好生態(tài)，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。我國(guó)個(gè)人信息保護(hù)法的中國(guó)智慧和中國(guó)方案包括但不限于：

其一，在法律淵源上，將個(gè)人信息保護(hù)上溯至憲法，經(jīng)由憲法第33條第三款“國(guó)家尊重和保障人權(quán)”、第38條“中華人民共和國(guó)公民的人格尊嚴(yán)不受侵犯”、第40條“中華人民共和國(guó)公民的通信自由和通信秘密受法律的保護(hù)”，宣誓、夯實(shí)、提升了個(gè)人信息權(quán)益的法律位階。其二，在立法目的上，將“保護(hù)個(gè)人信息權(quán)益”和“促進(jìn)個(gè)人信息合理利用”作為并行的規(guī)范目標(biāo)，秉持“執(zhí)其兩端，用其中于民”的理念，滿足人們對(duì)美好生活的向往。為此，個(gè)人信息保護(hù)法拓展了民法典“知情同意+免責(zé)事由”的規(guī)則設(shè)計(jì)，采取了包括個(gè)人同意、訂立和履行合同、履行法定職責(zé)和法定義務(wù)、人力資源管理、突發(fā)公共衛(wèi)生事件應(yīng)對(duì)、公開信息處理、新聞報(bào)道、輿論監(jiān)督等多元正當(dāng)性基礎(chǔ)。其三，在規(guī)范主體上，將“個(gè)人信息處理者”作為主要義務(wù)人，將“接受委托處理個(gè)人信息的受托人”作為輔助人，承擔(dān)一定范圍內(nèi)的個(gè)人信息安全保障義務(wù)。其四，在保護(hù)程度上，對(duì)于未成年人的個(gè)人信息、特定身份、行蹤軌跡、生物識(shí)別等信息予以更高力度的保護(hù)。其五，在適用場(chǎng)景上，對(duì)于“差別化定價(jià)”“個(gè)性化推送”“公共場(chǎng)所圖像采集識(shí)別”等社會(huì)反映強(qiáng)烈的問(wèn)題，予以專門規(guī)制；開展公開或向第三方提供個(gè)人信息、處理敏感個(gè)人信息、個(gè)人信息出境等高風(fēng)險(xiǎn)處理活動(dòng)的，應(yīng)當(dāng)取得個(gè)人的“單獨(dú)同意”。其六，在監(jiān)管體制上，個(gè)人信息保護(hù)法采取了“規(guī)則制定權(quán)相對(duì)集中，執(zhí)法權(quán)相對(duì)分散”的架構(gòu)，由國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門制定個(gè)人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn)，國(guó)務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。

二、《個(gè)人信息保護(hù)法》解決了哪些廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問(wèn)題？

截至2020年12月，我國(guó)網(wǎng)民規(guī)模達(dá)9.89億，較2020年3月增長(zhǎng)8540萬(wàn)，互聯(lián)網(wǎng)普及率達(dá)70.4%。隨著“互聯(lián)網(wǎng)+”深度融合和數(shù)字經(jīng)濟(jì)快速發(fā)展，線下活動(dòng)逐漸向線上轉(zhuǎn)移融合，消費(fèi)互聯(lián)網(wǎng)廣泛改變?nèi)藗兊纳罘绞?，互?lián)網(wǎng)深刻改變?nèi)藗兊墓ぷ鞣绞?，網(wǎng)絡(luò)已經(jīng)與人們的生產(chǎn)生活密不可分。現(xiàn)實(shí)生活中，一些企業(yè)、機(jī)構(gòu)甚至個(gè)人，從商業(yè)利益等出發(fā)，隨意收集、違法獲取、過(guò)度使用、非法買賣個(gè)人信息，利用個(gè)人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾財(cái)產(chǎn)安全和生命健康等問(wèn)題仍十分突出。日常生活中，隨意收集個(gè)人信息的場(chǎng)景十分常見，免費(fèi)領(lǐng)取的氣球小玩具要求掃碼關(guān)注獲取個(gè)人信息，商場(chǎng)停車要求微信公眾號(hào)注冊(cè)繳納停車費(fèi)，餐廳點(diǎn)餐需要掃碼下單獲取不必要個(gè)人信息等等。人們對(duì)此司空見慣卻又頗具無(wú)奈。個(gè)人信息頻繁被收集使用，個(gè)人生活安寧被不斷侵?jǐn)_，用戶合法權(quán)益得不到切實(shí)保障，甚至滋生長(zhǎng)鏈條的黑色產(chǎn)業(yè)。個(gè)人信息保護(hù)法的出臺(tái)有效回應(yīng)了這些不規(guī)范、不合法的問(wèn)題?？傮w來(lái)看，個(gè)人信息保護(hù)法對(duì)個(gè)人信息保護(hù)問(wèn)題作出了全面性、基礎(chǔ)性的規(guī)定，能夠有效實(shí)現(xiàn)個(gè)人信息保護(hù)法治環(huán)境。具體來(lái)看，主要包括六個(gè)方面內(nèi)容。

一是明確了個(gè)人信息保護(hù)的調(diào)整范圍。

個(gè)人信息保護(hù)法第四條第一款規(guī)定，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。網(wǎng)絡(luò)安全法、民法典等對(duì)“個(gè)人信息”均有界定，基本以“識(shí)別說(shuō)”為基礎(chǔ)，采取的都是概括+列舉的表述方式。個(gè)人信息保護(hù)法作為專門的個(gè)人信息保護(hù)法律，在定義方式上有明顯的不同，兼具了“識(shí)別說(shuō)”和“關(guān)聯(lián)說(shuō)”，很大程度上反映了個(gè)人信息保護(hù)的專業(yè)性、動(dòng)態(tài)性，結(jié)合個(gè)人信息處理主體多樣、處理活動(dòng)復(fù)雜、個(gè)人信息類型易變的現(xiàn)實(shí)發(fā)展情況，通過(guò)內(nèi)涵和外延較為寬泛的定義方式，最大程度地保證了個(gè)人信息保護(hù)法能夠廣泛適用和穩(wěn)定適用。與此同時(shí)，第四條第二款規(guī)定，個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。數(shù)據(jù)作為新型生產(chǎn)要素，價(jià)值化釋放是數(shù)據(jù)活動(dòng)的主要目的之一。個(gè)人信息在當(dāng)前發(fā)展階段是價(jià)值極為豐富的數(shù)據(jù)類型，其價(jià)值化釋放需求十分強(qiáng)烈，而可能伴隨的個(gè)人信息權(quán)益侵害也貫穿于數(shù)據(jù)處理活動(dòng)的全生命周期。個(gè)人信息保護(hù)法通過(guò)立法技巧，將有關(guān)個(gè)人信息活動(dòng)統(tǒng)一為“處理”活動(dòng)，以保證全法條文的有效覆蓋。相比于歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）所規(guī)定的數(shù)據(jù)控制者（Data

Controller）和數(shù)據(jù)處理者（Data

Processor），個(gè)人信息保護(hù)法僅用“個(gè)人信息處理者”一個(gè)概念表述，從比較法角度存在差異理解問(wèn)題，但個(gè)人信息保護(hù)法通過(guò)委托處理（第二十一條）和轉(zhuǎn)移處理（第二十三條）兩種方式的規(guī)定，實(shí)際上充分考慮了以“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”為理解背景的場(chǎng)景適用。從周延性的角度來(lái)說(shuō)，并無(wú)實(shí)質(zhì)不同。對(duì)于類型多樣的個(gè)人信息處理者而言，這是理解個(gè)人信息保護(hù)法適用的關(guān)鍵問(wèn)題之一。

二是明確了個(gè)人信息處理的基本規(guī)則。

首先，個(gè)人信息保護(hù)法首次在國(guó)內(nèi)法中規(guī)定了個(gè)人信息處理的合法性基礎(chǔ)（第十三條），包括用戶同意、訂立合同所必需、人力資源管理所必需、履行法定職責(zé)/義務(wù)、緊急保護(hù)、新聞報(bào)道或者輿論監(jiān)督、合理處理公開信息等多項(xiàng)合法性基礎(chǔ)。對(duì)于個(gè)人信息處理者而言，在以往僅有用戶同意這種唯一的合法性基礎(chǔ)之上，豐富了可以合法處理個(gè)人信息的途徑，既考慮了個(gè)人信息處理活動(dòng)的合理實(shí)踐，也借鑒了成熟的國(guó)外立法經(jīng)驗(yàn)。同時(shí)，個(gè)人信息保護(hù)法也妥當(dāng)?shù)靥幚砹送l文的銜接，根據(jù)第十三條第二款規(guī)定，依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。這充分體現(xiàn)了個(gè)人信息處理活動(dòng)的復(fù)雜性、多場(chǎng)景性，明確了除“用戶同意”以外合法處理個(gè)人信息的情形遵守其他條款的規(guī)則，保證了立法的科學(xué)性和嚴(yán)密性。其次，個(gè)人信息保護(hù)法對(duì)通過(guò)自動(dòng)化決策方式處理個(gè)人信息作出了規(guī)定，回應(yīng)了廣為關(guān)注的信息繭房和大數(shù)據(jù)殺熟問(wèn)題。個(gè)人信息保護(hù)法要求“利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正”（第二十四條第一款）。針對(duì)信息繭房問(wèn)題，個(gè)人信息保護(hù)法賦予了用戶拒絕的權(quán)利，規(guī)定“通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式”（第二十四條第二款）；針對(duì)大數(shù)據(jù)殺熟問(wèn)題，規(guī)定“不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇”（第二十四條第一款）。實(shí)際上，在反壟斷法框架下，大數(shù)據(jù)殺熟是一種濫用市場(chǎng)支配地位的行為，反壟斷法已有類似的規(guī)定。個(gè)人信息保護(hù)法對(duì)此作出規(guī)定，既能在反壟斷規(guī)制以外提供新的保護(hù)路徑，也能從個(gè)人信息收集、使用的底層邏輯上應(yīng)對(duì)大數(shù)據(jù)殺熟問(wèn)題。無(wú)論是信息繭房問(wèn)題還是大數(shù)據(jù)殺熟，個(gè)人信息處理活動(dòng)發(fā)揮著最基礎(chǔ)的支撐作用，離開個(gè)人信息數(shù)據(jù)處理，信息繭房和大數(shù)據(jù)殺熟都很難實(shí)現(xiàn)。通過(guò)對(duì)個(gè)人信息處理活動(dòng)的有效規(guī)制，能夠?qū)鉀Q類似問(wèn)題起到釜底抽薪的根本性作用。再次，明確了對(duì)公共場(chǎng)所視頻監(jiān)控活動(dòng)的規(guī)則。個(gè)人信息保護(hù)法第二十六條要求“在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外?！背鲇诒Ｗo(hù)公共安全的必要，公共場(chǎng)所設(shè)置攝像等設(shè)備越來(lái)越普及，也發(fā)揮了實(shí)際的效果。然而，有些攝像等設(shè)備的設(shè)置超出了維護(hù)公共安全的目的，甚至是為了私益。個(gè)人信息保護(hù)法通過(guò)該條作出了原則性規(guī)定，為后續(xù)規(guī)范相關(guān)活動(dòng)提供了法律依據(jù)。最后，首次明確了處理已公開個(gè)人信息的規(guī)則。根據(jù)個(gè)人信息保護(hù)法第十三條的規(guī)定，“依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息”屬于合法性基礎(chǔ)之一。第二十七條對(duì)已公開的個(gè)人信息處理進(jìn)行規(guī)定，明確可以在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息，但是個(gè)人明確拒絕的除外。同時(shí)，處理已公開的個(gè)人信息對(duì)個(gè)人權(quán)益有重大影響的，還應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意。

三是對(duì)個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利進(jìn)行了充分規(guī)定。

個(gè)人對(duì)其個(gè)人信息所享有的權(quán)利是個(gè)人參與個(gè)人信息保護(hù)的重要手段之一，體現(xiàn)了個(gè)人信息多元治理思路。參考以GDPR為代表的國(guó)外個(gè)人信息保護(hù)立法，賦予個(gè)人的權(quán)利種類基本一致。個(gè)人信息保護(hù)法進(jìn)行了科學(xué)、充分的立法借鑒。通過(guò)原則性條款明確了個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理（第四十四條）。具體規(guī)定了查閱、復(fù)制權(quán)，可攜帶權(quán)（第四十五條），更正權(quán)（第四十六條），刪除權(quán)（第四十七條），請(qǐng)求解釋權(quán)（第四十八條）。對(duì)于自然人死亡的，也明確了其近親屬行使相關(guān)權(quán)利的規(guī)定（第四十九條）。比較而言，個(gè)人信息保護(hù)法對(duì)個(gè)人在個(gè)人信息處理活動(dòng)中享有的權(quán)利作了比較充分的規(guī)定，除了對(duì)國(guó)際國(guó)內(nèi)普遍存在爭(zhēng)議的“被遺忘權(quán)”未作明確規(guī)定以外，基本和國(guó)外立法相一致。值得注意的是，個(gè)人信息保護(hù)法中所稱“權(quán)利”，有別于民法體系中的民事權(quán)利，并未對(duì)個(gè)人信息進(jìn)行權(quán)利化規(guī)定，而是強(qiáng)調(diào)了“在個(gè)人信息處理活動(dòng)中的”權(quán)利。

四是規(guī)定了個(gè)人信息處理者的義務(wù)。

個(gè)人信息處理者的義務(wù)可以理解為個(gè)人信息處理的操作規(guī)范和手冊(cè)。對(duì)于個(gè)人信息處理者而言，是需要非常熟悉并逐一對(duì)照遵守的部分。個(gè)人信息保護(hù)是一種合規(guī)性狀態(tài)，而非一種目標(biāo)性結(jié)果，需要個(gè)人信息處理者持續(xù)投入成本、資源以維持合法、合理的個(gè)人信息保護(hù)水平。個(gè)人信息保護(hù)法第五十一條對(duì)個(gè)人信息處理者的義務(wù)進(jìn)行了概括性規(guī)定，包括：（一）制定內(nèi)部管理制度和操作規(guī)程；（二）對(duì)個(gè)人信息實(shí)行分類管理；（三）采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；（四）合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；（五）制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；（六）法律、行政法規(guī)規(guī)定的其他措施?？傮w而言，個(gè)人信息處理者按照這幾項(xiàng)持續(xù)推進(jìn)內(nèi)部個(gè)人信息保護(hù)工作就能符合合規(guī)要求，具體可以根據(jù)企業(yè)規(guī)模大小、服務(wù)性質(zhì)、技術(shù)水平等選擇更為符合自身情況的相應(yīng)措施。除了第五十一條規(guī)定，個(gè)人信息保護(hù)法還規(guī)定了合規(guī)審計(jì)（第五十四條）、泄露通知（第五十七條）等要求。在一般性要求的基礎(chǔ)上，個(gè)人信息保護(hù)法還作了一些特殊規(guī)定，一是對(duì)于處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，要求指定個(gè)人信息保護(hù)負(fù)責(zé)人（第五十二條）；二是對(duì)于境外個(gè)人信息處理者，要求在中國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表（第五十三條）；三是特定情形下應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，主要是一些高風(fēng)險(xiǎn)情形，包括處理敏感個(gè)人信息、自動(dòng)化決策、委托處理、向他人/境外提供、公開個(gè)人信息等（第五十五條）；四是規(guī)定了“守門人”義務(wù)，對(duì)于提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者（可以理解為“守門人”或是大型互聯(lián)網(wǎng)平臺(tái)）還應(yīng)當(dāng)履行更高水平的義務(wù)，要求成立外部獨(dú)立監(jiān)督機(jī)構(gòu)、制定平臺(tái)規(guī)則、阻斷違法活動(dòng)、定期發(fā)布履責(zé)報(bào)告等（第五十八條）。

五是確定了履行個(gè)人信息保護(hù)職責(zé)的部門及其職責(zé)。

個(gè)人信息保護(hù)法對(duì)個(gè)人信息保護(hù)體制進(jìn)行了明確安排（第六十條）。從橫向來(lái)看，由國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作，國(guó)務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。從縱向來(lái)看，縣級(jí)以上地方人民政府有關(guān)部門按照國(guó)家有關(guān)規(guī)定確定個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)。根據(jù)第六十條規(guī)定，個(gè)人信息保護(hù)將按照統(tǒng)籌協(xié)調(diào)加協(xié)抓共管的思路，構(gòu)建跨部門、跨行業(yè)、跨領(lǐng)域監(jiān)管體制機(jī)制，能夠很好地適應(yīng)個(gè)人信息保護(hù)工作的特點(diǎn)。管理層級(jí)上，可以結(jié)合情況構(gòu)建國(guó)家、?。▍^(qū)、市）、地級(jí)市、縣四級(jí)管理體系。同時(shí)，個(gè)人信息保護(hù)法對(duì)履行個(gè)人信息保護(hù)職責(zé)的部門的職責(zé)，國(guó)家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)職能進(jìn)行了列舉式規(guī)定（第六十一條、第六十二條）。

六是規(guī)定了較為嚴(yán)厲的法律責(zé)任。

個(gè)人信息處理活動(dòng)涉及面廣、情況復(fù)雜、主體多樣、隱蔽性強(qiáng)，一旦發(fā)生侵害個(gè)人信息權(quán)益的行為，往往會(huì)對(duì)社會(huì)層面造成較為嚴(yán)重的后果，甚至有些損害結(jié)果難以顯性化察覺，監(jiān)管成本比較高，行政資源消耗比較大。根據(jù)國(guó)外經(jīng)驗(yàn)以及個(gè)人信息保護(hù)本身的特點(diǎn)，苛以較為嚴(yán)厲的法律責(zé)任符合法理邏輯。行政責(zé)任方面，個(gè)人信息保護(hù)法設(shè)置了全面的行政處罰手段，包括警告、沒收違法所得、罰款（包括對(duì)單位和責(zé)任人員）、責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、吊銷許可或者營(yíng)業(yè)執(zhí)照。其中，對(duì)于違法處理個(gè)人信息的應(yīng)用程序，可以責(zé)令暫?；蛘呓K止提供服務(wù)。罰款的最高數(shù)額可達(dá)五千萬(wàn)元人民幣或者上一年度營(yíng)業(yè)額的百分之五。此外還規(guī)定了信用懲戒以及對(duì)擔(dān)任企業(yè)董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人的從業(yè)禁止等。民事責(zé)任方面，規(guī)定了過(guò)錯(cuò)推定原則，處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任（第六十九條）。

縱觀個(gè)人信息保護(hù)法全文，其保護(hù)不可謂之不充分，其考慮不可謂之不全面，準(zhǔn)確把握了網(wǎng)絡(luò)發(fā)展的規(guī)律和特點(diǎn)，回應(yīng)了個(gè)人權(quán)益保護(hù)的迫切需求。個(gè)人信息保護(hù)立法過(guò)程中一直承載著各方高度關(guān)注和殷切希望。從一審稿到二審稿到最終出臺(tái)，不斷得到完善，廣泛得到各方認(rèn)可和好評(píng)，反映了我國(guó)對(duì)個(gè)人信息保護(hù)法治工作認(rèn)真、負(fù)責(zé)的態(tài)度。個(gè)人信息保護(hù)法的出臺(tái)，并不意味著個(gè)人信息保護(hù)工作的剛剛開始，實(shí)際上我國(guó)個(gè)人信息保護(hù)工作已經(jīng)深入開展了相當(dāng)長(zhǎng)的時(shí)間。而個(gè)人信息保護(hù)法的出臺(tái)標(biāo)志著我國(guó)進(jìn)入了更高水平的個(gè)人信息保護(hù)的法治時(shí)代，這也正是給所有身處網(wǎng)絡(luò)時(shí)代生活的人們最關(guān)心最直接最現(xiàn)實(shí)的利益問(wèn)題的最好法律答案。

三、《個(gè)人信息保護(hù)法》在對(duì)個(gè)人信息權(quán)益保護(hù)方面有哪些具體規(guī)定？

個(gè)人信息保護(hù)法，顧名思義，就是保護(hù)個(gè)人信息的法律，也就是保護(hù)個(gè)人信息權(quán)益的專門法律。個(gè)人信息權(quán)益是自然人針對(duì)個(gè)人信息享有的受到法律保護(hù)的權(quán)益。保護(hù)個(gè)人信息權(quán)益是我國(guó)個(gè)人信息保護(hù)法的重要立法目的，該法第一條就明確規(guī)定，為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法。第2條再次明確“自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。”為了實(shí)現(xiàn)對(duì)個(gè)人信息權(quán)益的全面的、充分的保護(hù)，個(gè)人信息保護(hù)法作出了如下系統(tǒng)全面、科學(xué)細(xì)致的規(guī)定。

1.確立了個(gè)人信息處理活動(dòng)應(yīng)當(dāng)遵循的基本原則，包括合法、正當(dāng)、必要、誠(chéng)信、目的限制、最小必要、質(zhì)量、責(zé)任等原則。這些原則的根本目的就是要規(guī)范個(gè)人信息處理者的處理活動(dòng)，保護(hù)個(gè)人信息權(quán)益。例如，依據(jù)第6條所確立的目的限制原則，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。無(wú)論什么樣的個(gè)人信息處理者為了何種處理目的，以何種方式實(shí)施個(gè)人信息處理活動(dòng)，都應(yīng)當(dāng)遵循這些基本原則。不僅如此，調(diào)整規(guī)范個(gè)人信息處理活動(dòng)的法規(guī)規(guī)章，也不能違反這些基本原則。

2.詳細(xì)規(guī)定告知同意規(guī)則，明確了個(gè)人信息處理者處理個(gè)人信息前，必須以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知法律規(guī)定的事項(xiàng)，除非法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知，或者告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)。如果個(gè)人信息處理者是基于個(gè)人同意而處理個(gè)人信息的，那么個(gè)人的同意必須是個(gè)人在充分知情的前提下自愿、明確地作出，個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。

3.對(duì)于社會(huì)普遍關(guān)注的“大數(shù)據(jù)殺熟”“人臉識(shí)別”等問(wèn)題，明確要求個(gè)人信息處理者保證自動(dòng)化決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。如果通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的，除非取得個(gè)人單獨(dú)同意。

4.界定了敏感個(gè)人信息并給予非常嚴(yán)格的保護(hù)。敏感個(gè)人信息，即一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。依據(jù)個(gè)人信息保護(hù)法的規(guī)定，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。同時(shí)，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。

5.專章規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利。個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利屬于手段性權(quán)利或救濟(jì)性權(quán)利，規(guī)定這些權(quán)利的目的就是為了保護(hù)自然人的個(gè)人信息權(quán)益。個(gè)人信息保護(hù)法在網(wǎng)絡(luò)安全法、民法典的規(guī)定的基礎(chǔ)上，立足于我國(guó)個(gè)人信息保護(hù)實(shí)踐的要求，吸收借鑒比較法上的優(yōu)秀成果，對(duì)個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利作出了系統(tǒng)全面的規(guī)定，規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中享有：對(duì)個(gè)人信息處理的知情權(quán)與決定權(quán)、查閱復(fù)制權(quán)、可攜帶權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、解釋說(shuō)明權(quán)等。此外，為了維護(hù)死者的近親屬的合法、正當(dāng)利益，個(gè)人信息保護(hù)法還規(guī)定，自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利；死者生前另有安排的除外。

6.對(duì)個(gè)人信息處理者的義務(wù)作出了集中、詳細(xì)的規(guī)定，構(gòu)建了完整的義務(wù)體系。這些義務(wù)包括：個(gè)人信息處理者采取措施確保個(gè)人信息處理活動(dòng)合法并保護(hù)個(gè)人信息安全的義務(wù)；按照規(guī)定指定個(gè)人信息保護(hù)負(fù)責(zé)人的義務(wù)；定期進(jìn)行合規(guī)審計(jì)的義務(wù)；對(duì)于高風(fēng)險(xiǎn)個(gè)人信息處理活動(dòng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估并對(duì)處理情況進(jìn)行記錄的義務(wù)；在發(fā)生或可能發(fā)生個(gè)人信息泄露等安全事件時(shí)立即采取補(bǔ)救措施并通知監(jiān)管機(jī)構(gòu)和個(gè)人的義務(wù)；提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者負(fù)有的“守門人義務(wù)”。

7.對(duì)于違法處理個(gè)人信息或者沒有履行法律規(guī)定的個(gè)人信息保護(hù)義務(wù)的行為規(guī)定了嚴(yán)格的行政處罰，如對(duì)于違法行為情節(jié)嚴(yán)重的，沒收違法所得，并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照等。對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。再如，對(duì)于違反個(gè)人信息保護(hù)法的違法行為的，明確了依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

8.規(guī)定了科學(xué)合理的民事責(zé)任制度以及民事公益訴訟。依據(jù)個(gè)人信息保護(hù)法的規(guī)定，處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。侵害個(gè)人信息權(quán)益造成損害的損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。在個(gè)人信息處理者違反個(gè)人信息保護(hù)法規(guī)定處理個(gè)人信息，侵害眾多個(gè)人的權(quán)益時(shí)，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。

四、《個(gè)人信息保護(hù)法》的主要亮點(diǎn)有哪些？

在信息化時(shí)代，個(gè)人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問(wèn)題之一。個(gè)人信息保護(hù)法堅(jiān)持和貫徹以人民為中心的法治理念，牢牢把握保護(hù)人民群眾個(gè)人信息權(quán)益的立法定位，聚焦個(gè)人信息保護(hù)領(lǐng)域的突出問(wèn)題和人民群眾的重大關(guān)切。

在有關(guān)法律的基礎(chǔ)上，該法進(jìn)一步細(xì)化、完善個(gè)人信息保護(hù)應(yīng)遵循的原則和個(gè)人信息處理規(guī)則，明確個(gè)人信息處理活動(dòng)中的權(quán)利義務(wù)邊界，健全個(gè)人信息保護(hù)工作體制機(jī)制。主要有以下十大亮點(diǎn)：

亮點(diǎn)一：確立個(gè)人信息保護(hù)原則

個(gè)人信息保護(hù)的原則是收集、使用個(gè)人信息的基本遵循，是構(gòu)建個(gè)人信息保護(hù)具體規(guī)則的制度基礎(chǔ)。

個(gè)人信息保護(hù)法借鑒國(guó)際經(jīng)驗(yàn)并立足我國(guó)實(shí)際，確立了個(gè)人信息處理應(yīng)遵循的原則，強(qiáng)調(diào)處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，具有明確、合理的目的并與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式，限于實(shí)現(xiàn)處理目的的最小范圍，公開處理規(guī)則，保證信息質(zhì)量，采取安全保護(hù)措施等。

這些原則應(yīng)當(dāng)貫穿于個(gè)人信息處理的全過(guò)程、各環(huán)節(jié)。

亮點(diǎn)二：規(guī)范處理活動(dòng)保障權(quán)益

個(gè)人信息保護(hù)法緊緊圍繞規(guī)范個(gè)人信息處理活動(dòng)、保障個(gè)人信息權(quán)益，構(gòu)建了以“告知-同意”為核心的個(gè)人信息處理規(guī)則。

“告知-同意”是法律確立的個(gè)人信息保護(hù)核心規(guī)則，是保障個(gè)人對(duì)其個(gè)人信息處理知情權(quán)和決定權(quán)的重要手段。

個(gè)人信息保護(hù)法要求，處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意，個(gè)人信息處理的重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新向個(gè)人告知并取得同意。同時(shí)，針對(duì)現(xiàn)實(shí)生活中社會(huì)反映強(qiáng)烈的一攬子授權(quán)、強(qiáng)制同意等問(wèn)題，個(gè)人信息保護(hù)法特別要求，個(gè)人信息處理者在處理敏感個(gè)人信息、向他人提供或公開個(gè)人信息、跨境轉(zhuǎn)移個(gè)人信息等環(huán)節(jié)應(yīng)取得個(gè)人的單獨(dú)同意，明確個(gè)人信息處理者不得過(guò)度收集個(gè)人信息，不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)，并賦予個(gè)人撤回同意的權(quán)利，在個(gè)人撤回同意后，個(gè)人信息處理者應(yīng)當(dāng)停止處理或及時(shí)刪除其個(gè)人信息。

此外，考慮到經(jīng)濟(jì)社會(huì)生活的復(fù)雜性，個(gè)人信息處理的場(chǎng)景日益多樣，個(gè)人信息保護(hù)法從維護(hù)公共利益和保障社會(huì)正常生產(chǎn)生活的角度，還對(duì)取得個(gè)人同意以外可以合法處理個(gè)人信息的特定情形作了規(guī)定。

此外，個(gè)人信息保護(hù)法還分別對(duì)共同處理、委托處理等實(shí)踐中較為常見的處理情形作出有針對(duì)性規(guī)定。

亮點(diǎn)三：禁止“大數(shù)據(jù)殺熟”規(guī)范自動(dòng)化決策

當(dāng)前，越來(lái)越多的企業(yè)利用大數(shù)據(jù)分析、評(píng)估消費(fèi)者的個(gè)人特征用于商業(yè)營(yíng)銷。有一些企業(yè)通過(guò)掌握消費(fèi)者的經(jīng)濟(jì)狀況、消費(fèi)習(xí)慣、對(duì)價(jià)格的敏感程度等信息，對(duì)消費(fèi)者在交易價(jià)格等方面實(shí)行歧視性的差別待遇，誤導(dǎo)、欺詐消費(fèi)者。其中，最典型的就是社會(huì)反映突出的“大數(shù)據(jù)殺熟”。

“大數(shù)據(jù)殺熟”行為違反了誠(chéng)實(shí)信用原則，侵犯了消費(fèi)者權(quán)益保護(hù)法規(guī)定的消費(fèi)者享有公平交易條件的權(quán)利，應(yīng)當(dāng)在法律上予以禁止。

對(duì)此，個(gè)人信息保護(hù)法明確規(guī)定：個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

亮點(diǎn)四：嚴(yán)格保護(hù)敏感個(gè)人信息

值得關(guān)注的是，個(gè)人信息保護(hù)法將生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個(gè)人信息。個(gè)人信息保護(hù)法要求，只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，方可處理敏感個(gè)人信息，同時(shí)應(yīng)當(dāng)事前進(jìn)行影響評(píng)估，并向個(gè)人告知處理的必要性以及對(duì)個(gè)人權(quán)益的影響。

這主要是考慮到此類信息一旦泄露或者被非法使用，極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害，因此，對(duì)處理敏感個(gè)人信息的活動(dòng)應(yīng)當(dāng)作出更加嚴(yán)格的限制。

值得關(guān)注的是，為保護(hù)未成年人的個(gè)人信息權(quán)益和身心健康，個(gè)人信息保護(hù)法特別將不滿十四周歲未成年人的個(gè)人信息確定為敏感個(gè)人信息予以嚴(yán)格保護(hù)。同時(shí)，與未成年人保護(hù)法有關(guān)規(guī)定相銜接，要求處理不滿十四周歲未成年人個(gè)人信息應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意，并應(yīng)當(dāng)對(duì)此制定專門的個(gè)人信息處理規(guī)則。

亮點(diǎn)五：規(guī)范國(guó)家機(jī)關(guān)處理活動(dòng)

為履行維護(hù)國(guó)家安全、懲治犯罪、管理經(jīng)濟(jì)社會(huì)事務(wù)等職責(zé)，國(guó)家機(jī)關(guān)需要處理大量個(gè)人信息。保護(hù)個(gè)人信息權(quán)益、保障個(gè)人信息安全是國(guó)家機(jī)關(guān)應(yīng)盡的義務(wù)和責(zé)任。但近年來(lái)，一些個(gè)人信息泄露事件也反映出有些國(guó)家機(jī)關(guān)存在個(gè)人信息保護(hù)意識(shí)不強(qiáng)、處理流程不規(guī)范、安全保護(hù)措施不到位等問(wèn)題。

對(duì)此，個(gè)人信息保護(hù)法對(duì)國(guó)家機(jī)關(guān)處理個(gè)人信息的活動(dòng)作出專門規(guī)定，特別強(qiáng)調(diào)國(guó)家機(jī)關(guān)處理個(gè)人信息的活動(dòng)適用本法，并且處理個(gè)人信息應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限和程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度。

亮點(diǎn)六：賦予個(gè)人充分權(quán)利

個(gè)人信息保護(hù)法將個(gè)人在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利，包括知悉個(gè)人信息處理規(guī)則和處理事項(xiàng)、同意和撤回同意，以及個(gè)人信息的查詢、復(fù)制、更正、刪除等總結(jié)提升為知情權(quán)、決定權(quán)，明確個(gè)人有權(quán)限制個(gè)人信息的處理。

同時(shí)，為了適應(yīng)互聯(lián)網(wǎng)應(yīng)用和服務(wù)多樣化的實(shí)際，滿足日益增長(zhǎng)的跨平臺(tái)轉(zhuǎn)移個(gè)人信息的需求，個(gè)人信息保護(hù)法對(duì)個(gè)人信息可攜帶權(quán)作了原則規(guī)定，要求在符合國(guó)家網(wǎng)信部門規(guī)定條件的情形下，個(gè)人信息處理者應(yīng)當(dāng)為個(gè)人提供轉(zhuǎn)移其個(gè)人信息的途徑。

此外，個(gè)人信息保護(hù)法還對(duì)死者個(gè)人信息的保護(hù)作了專門規(guī)定，明確在尊重死者生前安排的前提下，其近親屬為自身合法、正當(dāng)利益，可以對(duì)死者個(gè)人信息行使查閱、復(fù)制、更正、刪除等權(quán)利。

亮點(diǎn)七：強(qiáng)化個(gè)人信息處理者義務(wù)

個(gè)人信息處理者是個(gè)人信息保護(hù)的第一責(zé)任人。據(jù)此，個(gè)人信息保護(hù)法強(qiáng)調(diào)，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。

在此基礎(chǔ)上，個(gè)人信息保護(hù)法設(shè)專章明確了個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù)，要求個(gè)人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，指定負(fù)責(zé)人對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督，定期對(duì)其個(gè)人信息活動(dòng)進(jìn)行合規(guī)審計(jì)，對(duì)處理敏感個(gè)人信息、利用個(gè)人進(jìn)行自動(dòng)化決策、對(duì)外提供或公開個(gè)人信息等高風(fēng)險(xiǎn)處理活動(dòng)進(jìn)行事前影響評(píng)估，履行個(gè)人信息泄露通知和補(bǔ)救義務(wù)等。

亮點(diǎn)八：賦予大型網(wǎng)絡(luò)平臺(tái)特別義務(wù)

互聯(lián)網(wǎng)平臺(tái)服務(wù)是數(shù)字經(jīng)濟(jì)區(qū)別于傳統(tǒng)經(jīng)濟(jì)的顯著特征?；ヂ?lián)網(wǎng)平臺(tái)為商品和服務(wù)的交易提供技術(shù)支持、交易場(chǎng)所、信息發(fā)布和交易撮合等服務(wù)。

在個(gè)人信息處理方面，互聯(lián)網(wǎng)平臺(tái)為平臺(tái)內(nèi)經(jīng)營(yíng)者處理個(gè)人信息提供基礎(chǔ)技術(shù)服務(wù)、設(shè)定基本處理規(guī)則，是個(gè)人信息保護(hù)的關(guān)鍵環(huán)節(jié)。提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者對(duì)平臺(tái)內(nèi)的交易和個(gè)人信息處理活動(dòng)具有強(qiáng)大的控制力和支配力，因此在個(gè)人信息保護(hù)方面應(yīng)當(dāng)承擔(dān)更多的法律義務(wù)。

據(jù)此，個(gè)人信息保護(hù)法對(duì)這些大型互聯(lián)網(wǎng)平臺(tái)設(shè)定了特別的個(gè)人信息保護(hù)義務(wù)，包括：按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；遵循公開、公平、公正的原則，制定平臺(tái)規(guī)則；對(duì)嚴(yán)重違法處理個(gè)人信息的平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。個(gè)人信息保護(hù)法的上述規(guī)定是為了提高大型互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)業(yè)務(wù)的透明度，完善平臺(tái)治理，強(qiáng)化外部監(jiān)督，形成全社會(huì)共同參與的個(gè)人信息保護(hù)機(jī)制。

亮點(diǎn)九：規(guī)范個(gè)人信息跨境流動(dòng)

隨著經(jīng)濟(jì)全球化、數(shù)字化的不斷推進(jìn)以及我國(guó)對(duì)外開放的不斷擴(kuò)大，個(gè)人信息的跨境流動(dòng)日益頻繁，但由于遙遠(yuǎn)的地理距離以及不同國(guó)家法律制度、保護(hù)水平之間的差異，個(gè)人信息跨境流動(dòng)風(fēng)險(xiǎn)更加難以控制。

個(gè)人信息保護(hù)法構(gòu)建了一套清晰、系統(tǒng)的個(gè)人信息跨境流動(dòng)規(guī)則，以滿足保障個(gè)人信息權(quán)益和安全的客觀要求，適應(yīng)國(guó)際經(jīng)貿(mào)往來(lái)的現(xiàn)實(shí)需要。一是明確以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，或者分析、評(píng)估境內(nèi)自然人的行為等，在我國(guó)境外處理境內(nèi)自然人個(gè)人信息的活動(dòng)適用本法，并要求符合上述情形的境外個(gè)人信息處理者在我國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)個(gè)人信息保護(hù)相關(guān)事務(wù)；二是明確向境外提供個(gè)人信息的途徑，包括通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估、經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證、訂立標(biāo)準(zhǔn)合同、按照我國(guó)締結(jié)或參加的國(guó)際條約和協(xié)定等；三是要求個(gè)人信息處理者采取必要措施保障境外接收方的處理活動(dòng)達(dá)到本法規(guī)定的保護(hù)標(biāo)準(zhǔn)；四是對(duì)跨境提供個(gè)人信息的“告知-同意”作出更嚴(yán)格的要求，切實(shí)保障個(gè)人的知情權(quán)、決定權(quán)等權(quán)利；五是為維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益，對(duì)跨境提供個(gè)人信息的安全評(píng)估、向境外司法或執(zhí)法機(jī)構(gòu)提供個(gè)人信息、限制跨境提供個(gè)人信息的措施、對(duì)外國(guó)歧視性措施的反制等作了規(guī)定。

亮點(diǎn)十：健全個(gè)人信息保護(hù)工作機(jī)制

個(gè)人信息保護(hù)涉及的領(lǐng)域廣，相關(guān)制度措施的落實(shí)有賴于完善的監(jiān)管執(zhí)法機(jī)制。

根據(jù)個(gè)人信息保護(hù)工作實(shí)際，個(gè)人信息保護(hù)法明確，國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作，同時(shí)，對(duì)個(gè)人信息保護(hù)和監(jiān)管職責(zé)作出規(guī)定，包括開展個(gè)人信息保護(hù)宣傳教育、指導(dǎo)監(jiān)督個(gè)人信息保護(hù)工作、接受處理相關(guān)投訴舉報(bào)、組織對(duì)應(yīng)用程序等進(jìn)行測(cè)評(píng)、調(diào)查處理違法個(gè)人信息處理活動(dòng)等。

此外，為了加強(qiáng)個(gè)人信息保護(hù)監(jiān)管執(zhí)法的協(xié)同配合，個(gè)人信息保護(hù)法還進(jìn)一步明確了國(guó)家網(wǎng)信部門在個(gè)人信息保護(hù)監(jiān)管方面的統(tǒng)籌協(xié)調(diào)作用，并對(duì)其統(tǒng)籌協(xié)調(diào)職責(zé)作出具體規(guī)定。

五、如何看待《個(gè)人信息保護(hù)法》單獨(dú)立法的必要性？

之前我國(guó)涉及個(gè)人信息的法律有三部，分別是《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)電子商務(wù)法》《中華人民共和國(guó)民法典》。它們的出發(fā)點(diǎn)不一樣，具體來(lái)說(shuō)：《電子商務(wù)法》它主要解決商業(yè)性的信息保管和利用問(wèn)題，一般來(lái)說(shuō)跟個(gè)人的關(guān)系不太大；《網(wǎng)絡(luò)安全法》涉及國(guó)家利益、社會(huì)利益保障的問(wèn)題，它跟個(gè)人這個(gè)出發(fā)點(diǎn)不一樣；《民法典》它主要是解決單一的個(gè)人信息受到損害以后的救濟(jì)問(wèn)題。其實(shí)這就是兩個(gè)大要點(diǎn)，一個(gè)是解決單一個(gè)人的問(wèn)題，而《個(gè)人信息保護(hù)法》它是群體性的，面向的是不特定的多數(shù)人。

另外一個(gè)最重要的就是，在民法里個(gè)人信息保護(hù)不能預(yù)先保護(hù)，所以它沒有辦法建立預(yù)先救濟(jì)的制度，只能采取事后救濟(jì)制度。但是在《個(gè)人信息保護(hù)法》方面，它是要采取預(yù)先防范的原則，比如現(xiàn)在社會(huì)上探討的大部分個(gè)人信息泄露都是出現(xiàn)在收集掌管的環(huán)節(jié)里，因此要預(yù)先防范，把可能造成的損害消滅在萌芽狀態(tài)。

還要一再?gòu)?qiáng)調(diào)的就是，制定《個(gè)人信息保護(hù)法》不是說(shuō)要消除對(duì)信息的利用，恰恰相反，是要促進(jìn)信息化的社會(huì)建設(shè)。

六、《個(gè)人信息保護(hù)法》實(shí)施后，將促使我們生產(chǎn)生活中哪些常見的規(guī)則和習(xí)慣發(fā)生改變？

最直觀地來(lái)說(shuō)，對(duì)老百姓而言，我們的社會(huì)生活會(huì)更加可靠，不像過(guò)去那樣沒有安全感。另外，《個(gè)人信息保護(hù)法》影響最大的就是負(fù)責(zé)收集個(gè)人信息的部門，包括政府部門、大型企業(yè)等。比如像鐵路、民航等各個(gè)交通部門都會(huì)收集到很多信息，所以對(duì)他們而言，了解這部法律很重要，他們以后要加強(qiáng)這方面的合規(guī)性審查。還有像前面提到的APP應(yīng)用，之前如果用戶選擇不同意條款，APP就會(huì)拒絕提供服務(wù)，以后這些情況至少來(lái)說(shuō)是不適當(dāng)?shù)?，甚至有可能?huì)構(gòu)成違法，法律實(shí)施以后這些問(wèn)題都會(huì)得到解決?？傊@次的《個(gè)人信息保護(hù)法》對(duì)整個(gè)社會(huì)而言，是一個(gè)很重要的利好消息。

現(xiàn)在我們已經(jīng)進(jìn)入到信息化社會(huì)，信息化有可能產(chǎn)生的弊端是揮之不去的，因此我們應(yīng)該積極地利用它的好處。但是從另一方面來(lái)講，如果個(gè)人信息受到損害了，我們也有保護(hù)自己的方法，而這個(gè)就是法律要解決的問(wèn)題。

中華人民共和?國(guó)個(gè)人信息保護(hù)法

（共八章七十四條，自2021年11月1日起施行）

第一章　總則

第一條　為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，根據(jù)憲法，制定本法。

第二條　自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。

第三條　在中華人民共和國(guó)境內(nèi)處理自然人個(gè)人信息的活動(dòng)，適用本法。

在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)，有下列情形之一的，也適用本法：

（一）以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的；

（二）分析、評(píng)估境內(nèi)自然人的行為；

（三）法律、行政法規(guī)規(guī)定的其他情形。

第四條　個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。

第五條　處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。

第六條　處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。

收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。

第七條　處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明原則，公開個(gè)人信息處理規(guī)則，明示處理的目的、方式和范圍。

第八條　處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響。

第九條　個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全。

第十條　任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息；不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)。

第十一條　國(guó)家建立健全個(gè)人信息保護(hù)制度，預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為，加強(qiáng)個(gè)人信息保護(hù)宣傳教育，推動(dòng)形成政府、企業(yè)、相關(guān)社會(huì)組織、公眾共同參與個(gè)人信息保護(hù)的良好環(huán)境。

第十二條　國(guó)家積極參與個(gè)人信息保護(hù)國(guó)際規(guī)則的制定，促進(jìn)個(gè)人信息保護(hù)方面的國(guó)際交流與合作，推動(dòng)與其他國(guó)家、地區(qū)、國(guó)際組織之間的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)等互認(rèn)。

第二章　個(gè)人信息處理規(guī)則

第一節(jié)　一般規(guī)定

第十三條　符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：

（一）取得個(gè)人的同意；

（二）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；

（三）為履行法定職責(zé)或者法定義務(wù)所必需；

（四）為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；

（五）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；

（六）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；

（七）法律、行政法規(guī)規(guī)定的其他情形。

依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。

第十四條　基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定。

個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意。

第十五條　基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。

個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。

第十六條　個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

第十七條　個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng)：

（一）個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；

（二）個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；

（三）個(gè)人行使本法規(guī)定權(quán)利的方式和程序；

（四）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。

前款規(guī)定事項(xiàng)發(fā)生變更的，應(yīng)當(dāng)將變更部分告知個(gè)人。

個(gè)人信息處理者通過(guò)制定個(gè)人信息處理規(guī)則的方式告知第一款規(guī)定事項(xiàng)的，處理規(guī)則應(yīng)當(dāng)公開，并且便于查閱和保存。

第十八條　個(gè)人信息處理者處理個(gè)人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。

緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無(wú)法及時(shí)向個(gè)人告知的，個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。

第十九條　除法律、行政法規(guī)另有規(guī)定外，個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。

第二十條　兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的，應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。但是，該約定不影響個(gè)人向其中任何一個(gè)個(gè)人信息處理者要求行使本法規(guī)定的權(quán)利。

個(gè)人信息處理者共同處理個(gè)人信息，侵害個(gè)人信息權(quán)益造成損害的，應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任。

第二十一條　個(gè)人信息處理者委托處理個(gè)人信息的，應(yīng)當(dāng)與受托人約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等，并對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。

受托人應(yīng)當(dāng)按照約定處理個(gè)人信息，不得超出約定的處理目的、處理方式等處理個(gè)人信息；委托合同不生效、無(wú)效、被撤銷或者終止的，受托人應(yīng)當(dāng)將個(gè)人信息返還個(gè)人信息處理者或者予以刪除，不得保留。

未經(jīng)個(gè)人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個(gè)人信息。

第二十二條　個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。

第二十三條　個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。

第二十四條　個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

通過(guò)自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。

通過(guò)自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，個(gè)人有權(quán)要求個(gè)人信息處理者予以說(shuō)明，并有權(quán)拒絕個(gè)人信息處理者僅通過(guò)自動(dòng)化決策的方式作出決定。

第二十五條　個(gè)人信息處理者不得公開其處理的個(gè)人信息，取得個(gè)人單獨(dú)同意的除外。

第二十六條　在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國(guó)家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外。

第二十七條　個(gè)人信息處理者可以在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意。

第二節(jié)　敏感個(gè)人信息的處理規(guī)則

第二十八條　敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。

第二十九條　處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定。

第三十條　個(gè)人信息處理者處理敏感個(gè)人信息的，除本法第十七條第一款規(guī)定的事項(xiàng)外，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響；依照本法規(guī)定可以不向個(gè)人告知的除外。

第三十一條　個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。

個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則。

第三十二條　法律、行政法規(guī)對(duì)處理敏感個(gè)人信息規(guī)定應(yīng)當(dāng)取得相關(guān)行政許可或者作出其他限制的，從其規(guī)定。

第三節(jié)　國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定

第三十三條　國(guó)家機(jī)關(guān)處理個(gè)人信息的活動(dòng)，適用本法；本節(jié)有特別規(guī)定的，適用本節(jié)規(guī)定。

第三十四條　國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度。

第三十五條　國(guó)家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照本法規(guī)定履行告知義務(wù)；有本法第十八條第一款規(guī)定的情形，或者告知將妨礙國(guó)家機(jī)關(guān)履行法定職責(zé)的除外。

第三十六條　國(guó)家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)存儲(chǔ)；確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。安全評(píng)估可以要求有關(guān)部門提供支持與協(xié)助。

第三十七條　法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履行法定職責(zé)處理個(gè)人信息，適用本法關(guān)于國(guó)家機(jī)關(guān)處理個(gè)人信息的規(guī)定。

第三章　個(gè)人信息跨境提供的規(guī)則

第三十八條　個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)具備下列條件之一：

（一）依照本法第四十條的規(guī)定通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估；

（二）按照國(guó)家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；

（三）按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；

（四）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門規(guī)定的其他條件。

中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向中華人民共和國(guó)境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

個(gè)人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。

第三十九條　個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。

第四十條　關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門組織的安全評(píng)估；法律、行政法規(guī)和國(guó)家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定。

第四十一條　中華人民共和國(guó)主管機(jī)關(guān)根據(jù)有關(guān)法律和中華人民共和國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定，或者按照平等互惠原則，處理外國(guó)司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供存儲(chǔ)于境內(nèi)個(gè)人信息的請(qǐng)求。非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，個(gè)人信息處理者不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的個(gè)人信息。

第四十二條　境外的組織、個(gè)人從事侵害中華人民共和國(guó)公民的個(gè)人信息權(quán)益，或者危害中華人民共和國(guó)國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)的，國(guó)家網(wǎng)信部門可以將其列入限制或者禁止個(gè)人信息提供清單，予以公告，并采取限制或者禁止向其提供個(gè)人信息等措施。

第四十三條　任何國(guó)家或者地區(qū)在個(gè)人信息保護(hù)方面對(duì)中華人民共和國(guó)采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國(guó)可以根據(jù)實(shí)際情況對(duì)該國(guó)家或者地區(qū)對(duì)等采取措施。

第四章　個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利

第四十四條　個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理；法律、行政法規(guī)另有規(guī)定的除外。

第四十五條　個(gè)人有權(quán)向個(gè)人信息處理者查閱、復(fù)制其個(gè)人信息；有本法第十八條第一款、第三十五條規(guī)定情形的除外。

個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供。

個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國(guó)家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。

第四十六條　個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充。

個(gè)人請(qǐng)求更正、補(bǔ)充其個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息予以核實(shí)，并及時(shí)更正、補(bǔ)充。

第四十七條　有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息；個(gè)人信息處理者未刪除的，個(gè)人有權(quán)請(qǐng)求刪除：

（一）處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；

（二）個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；

（三）個(gè)人撤回同意；

（四）個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息；

（五）法律、行政法規(guī)規(guī)定的其他情形。

法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。

第四十八條　個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說(shuō)明。

第四十九條　自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利；死者生前另有安排的除外。

第五十條　個(gè)人信息處理者應(yīng)當(dāng)建立便捷的個(gè)人行使權(quán)利的申請(qǐng)受理和處理機(jī)制。拒絕個(gè)人行使權(quán)利的請(qǐng)求的，應(yīng)當(dāng)說(shuō)明理由。

個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求的，個(gè)人可以依法向人民法院提起訴訟。

第五章　個(gè)人信息處理者的義務(wù)

第五十一條　個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失：

（一）制定內(nèi)部管理制度和操作規(guī)程；

（二）對(duì)個(gè)人信息實(shí)行分類管理；

（三）采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；

（四）合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；

（五）制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；

（六）法律、行政法規(guī)規(guī)定的其他措施。

第五十二條　處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。

個(gè)人信息處理者應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。

第五十三條　本法第三條第二款規(guī)定的中華人民共和國(guó)境外的個(gè)人信息處理者，應(yīng)當(dāng)在中華人民共和國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)事務(wù)，并將有關(guān)機(jī)構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。

第五十四條　個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

第五十五條　有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄：

（一）處理敏感個(gè)人信息；

（二）利用個(gè)人信息進(jìn)行自動(dòng)化決策；

（三）委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息；

（四）向境外提供個(gè)人信息；

（五）其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)。

第五十六條　個(gè)人信息保護(hù)影響評(píng)估應(yīng)當(dāng)包括下列內(nèi)容：

（一）個(gè)人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；

（二）對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)；

（三）所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。

個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存三年。

第五十七條　發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知應(yīng)當(dāng)包括下列事項(xiàng)：

（一）發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；

（二）個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施；

（三）個(gè)人信息處理者的聯(lián)系方式。

個(gè)人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個(gè)人信息處理者可以不通知個(gè)人；履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為可能造成危害的，有權(quán)要求個(gè)人信息處理者通知個(gè)人。

第五十八條　提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)履行下列義務(wù)：

（一）按照國(guó)家規(guī)定建立健全個(gè)人信息保護(hù)合規(guī)制度體系，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督；

（二）遵循公開、公平、公正的原則，制定平臺(tái)規(guī)則，明確平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息的規(guī)范和保護(hù)個(gè)人信息的義務(wù)；

（三）對(duì)嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的平臺(tái)內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；

（四）定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告，接受社會(huì)監(jiān)督。

第五十九條　接受委托處理個(gè)人信息的受托人，應(yīng)當(dāng)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，采取必要措施保障所處理的個(gè)人信息的安全，并協(xié)助個(gè)人信息處理者履行本法規(guī)定的義務(wù)。

第六章　履行個(gè)人信息保護(hù)職責(zé)的部門

第六十條　國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。

縣級(jí)以上地方人民政府有關(guān)部門的個(gè)人信息保護(hù)和監(jiān)督管理職責(zé)，按照國(guó)家有關(guān)規(guī)定確定。

前兩款規(guī)定的部門統(tǒng)稱為履行個(gè)人信息保護(hù)職責(zé)的部門。

第六十一條　履行個(gè)人信息保護(hù)職責(zé)的部門履行下列個(gè)人信息保護(hù)職責(zé)：

（一）開展個(gè)人信息保護(hù)宣傳教育，指導(dǎo)、監(jiān)督個(gè)人信息處理者開展個(gè)人信息保護(hù)工作；

（二）接受、處理與個(gè)人信息保護(hù)有關(guān)的投訴、舉報(bào)；

（三）組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測(cè)評(píng)，并公布測(cè)評(píng)結(jié)果；

（四）調(diào)查、處理違法個(gè)人信息處理活動(dòng)；

（五）法律、行政法規(guī)規(guī)定的其他職責(zé)。

第六十二條　國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法推進(jìn)下列個(gè)人信息保護(hù)工作：

（一）制定個(gè)人信息保護(hù)具體規(guī)則、標(biāo)準(zhǔn)；

（二）針對(duì)小型個(gè)人信息處理者、處理敏感個(gè)人信息以及人臉識(shí)別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)；

（三）支持研究開發(fā)和推廣應(yīng)用安全、方便的電子身份認(rèn)證技術(shù)，推進(jìn)網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè)；

（四）推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)，支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評(píng)估、認(rèn)證服務(wù)；

（五）完善個(gè)人信息保護(hù)投訴、舉報(bào)工作機(jī)制。

第六十三條　履行個(gè)人信息保護(hù)職責(zé)的部門履行個(gè)人信息保護(hù)職責(zé)，可以采取下列措施：

（一）詢問(wèn)有關(guān)當(dāng)事人，調(diào)查與個(gè)人信息處理活動(dòng)有關(guān)的情況；

（二）查閱、復(fù)制當(dāng)事人與個(gè)人信息處理活動(dòng)有關(guān)的合同、記錄、賬簿以及其他有關(guān)資料；

（三）實(shí)施現(xiàn)場(chǎng)檢查，對(duì)涉嫌違法的個(gè)人信息處理活動(dòng)進(jìn)行調(diào)查；

（四）檢查與個(gè)人信息處理活動(dòng)有關(guān)的設(shè)備、物品；

對(duì)有證據(jù)證明是用于違法個(gè)人信息處理活動(dòng)的設(shè)備、物品，向本部門主要負(fù)責(zé)人書面報(bào)告并經(jīng)批準(zhǔn)，可以查封或者扣押。

履行個(gè)人信息保護(hù)職責(zé)的部門依法履行職責(zé)，當(dāng)事人應(yīng)當(dāng)予以協(xié)助、配合，不得拒絕、阻撓。

第六十四條　履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施，進(jìn)行整改，消除隱患。

履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)違法處理個(gè)人信息涉嫌犯罪的，應(yīng)當(dāng)及時(shí)移送公安機(jī)關(guān)依法處理。

第六十五條　任何組織、個(gè)人有權(quán)對(duì)違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)。收到投訴、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理，并將處理結(jié)果告知投訴、舉報(bào)人。

履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)當(dāng)公布接受投訴、舉報(bào)的聯(lián)系方式。

第七章　法律責(zé)任

第六十六條　違反本法規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，給予警告，沒收違法所得，對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處一百萬(wàn)元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由省級(jí)以上履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營(yíng)業(yè)執(zhí)照；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款，并可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。

第六十七條　有本法規(guī)定的違法行為的，依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

第六十八條　國(guó)家機(jī)關(guān)不履行本法規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由其上級(jí)機(jī)關(guān)或者履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。

履行個(gè)人信息保護(hù)職責(zé)的部門的工作人員玩忽職守、濫用職權(quán)、徇私舞弊，尚不構(gòu)成犯罪的，依法給予處分。

第六十九條　處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害，個(gè)人信息處理者不能證明自己沒有過(guò)錯(cuò)的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。

前款規(guī)定的損害賠償責(zé)任按照個(gè)人因此受到的損失或者個(gè)人信息處理者因此獲得的利益確定；個(gè)人因此受到的損失和個(gè)人信息處理者因此獲得的利益難以確定的，根據(jù)實(shí)際情況確定賠償數(shù)額。

第七十條　個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息，侵害眾多個(gè)人的權(quán)益的，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。

第七十一條　違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第八章　附則

第七十二條　自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息的，不適用本法。

法律對(duì)各級(jí)人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計(jì)、檔案管理活動(dòng)中的個(gè)人信息處理有規(guī)定的，適用其規(guī)定。

第七十三條　本法下列用語(yǔ)的含義：

（一）個(gè)人信息處理者，是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。

（二）自動(dòng)化決策，是指通過(guò)計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)。

（三）去標(biāo)識(shí)化，是指?jìng)€(gè)人信息經(jīng)過(guò)處理，使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過(guò)程。

（四）匿名化，是指?jìng)€(gè)人信息經(jīng)過(guò)處理無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程。

第七十四條　本法自2021年11月1日起施行。